[ТЕМА ЗАКРЫТА]
Опции темы
14.03.2012 17:16  
OlegON
Недоадминистраторам (v.1.0)

Эта статья в первую очередь нацелена на пользователей, которым подарили компьютер с “уиндоус”, которые радостно загадили его вирусней и антивирусами, переустановили систему, после чего долго били себя пяткой в грудь на собеседовании, доказывая кадровикам, что именно они (те пользователи) - системные администраторы. Остальным, по идее, читать этот опус не будет интересно в силу очевидности замечаний. Да, я зол, буду много ругаться по тексту, потому, что такие криворукие, как ты (я про пользователей, описанных выше), очень много мне крови попортили своими проблемами, превращая их в мои забесплатно. Но целью написания этого опуса не является вывод “все в дерьме - я в белом”, я искренне надеюсь, что потраченное мной время обернется хоть малейшим повышением уровня квалификации тех людей, которые называют себя системными администраторами, а кому-то, возможно, поможет сменить профессию. Еще раз прошу простить за резкость статьи и, забегая вперед, отмечу, что я себя суперадмином тоже не считаю, поэтому оставляю за собой право на ошибки. Оригинал статьи находится на моем форуме https://olegon.ru и доступен для свободного распространения в электронном виде при условии сохранения полноты и целостности текста, включая ссылку. Итак.
Немного о тебе.
С самого начала определи, насколько тебе это интересно. В отличие от общепринятого мнения, “компьютерщик”, который ставит знакомым винду и игрушки, с удовольствием играя в них сам и проводя за этим занятием значимую часть времени и системный администратор - это совсем не одно и то же. Появление некоторой из разновидностей рукоблудных “компьютерщиков” в роли системного администратора может повлечь за собой полный паралич сервисов на предприятии. Работа системного администратора может быть интересна совсем небольшому кругу людей и если тебе не интересно почитать что-то сугубо профессиональное в нерабочее время, то на себе, как админе, ты можешь поставить крест. Ничего путного из тебя не выйдет, выше эникейщика ты не прыгнешь, а начинать трудовой путь с этого, чтобы им же и закончить... Смысла не вижу, тем более, что своей тупизной и неадекватностью ты много нервов помотаешь тем, кому придется с тобой работать.
Очень важное условие - знание английского. Без его знания доступ к документации для тебя закрыт. А без документации ты - ноль без палочки. Разговорный не нужен, но желателен, нужен технический, беглое чтение без словаря. Если его нет, то ты застрял на уровне эникейщика-мышевозилы. Надо понимать, что если ты не полный дурак, то ты не придешь на работу системным администратором, если не имеешь багажа знаний? Куча профанов-компьютерщиков стоят в очереди за халявой, ожидая, что будут дальше играть в компьютеры и им еще и приплачивать будут. Облом ожидает и их работодателя и их самих. Очень частая отговорка “я все изучу, но сейчас времени нет”, в большинстве случаев свидетельствует о том, что человек пришел учиться за счет работодателя, а не работать. Работать такому надо начинать с подмастерья. И опыта наберется, и делу не навредит, и имиджу профессии. Смирись с мыслью, что ты чайник, если ты не знаешь, например, что такое OU в AD. Для минимального самостоятельного старта системный администратор безусловно должен знать основы Windows и Linux (хотя бы один дистрибутив), именно в серверной части, уметь выполнять все действия не только с помощью мыши, но и в командной строке, уметь писать среднего уровня сложности скрипты в cmd и на bash (под средним я понимаю умение обрабатывать файлы в простейших циклах и выходные errorlevel, например), знать ANSI SQL, т.е. его основу - немного поковырять любую из баз не должно быть проблемой и какой-нибудь из языков программирования, чтобы можно было собрать “костыль” для любой из используемых на предприятии операционных систем. Если ты не удовлетворяешь хотя бы одному условию из перечисленных, будь готов к тому, что настоящие сисадмины будут смотреть на тебя, как на дебила, поскольку ты в их рядах будешь выглядеть, как монашка в финской бане. Список условий выше далеко не исчерпывающий, конечно...

Немного об организации твоей работы.
Первое правило системного администратора - “работает - не трогай”. Необходимо понимать, что промышленные системы (а сетка для твоих юзеров-бухгалтеров - промышленная система, поскольку обслуживает их работу, нужную твоему предприятию, какими бы дебилами они не являлись по твоему мнению), так вот промышленные системы и твой домашний комп - две большие разницы. И ощущение, что ты - властелин всего мира и этой сетки в частности полностью ошибочное. Время твоих работ - это время, когда не работают твои пользователи. Когда они работают - ты только мониторишь состояние подведомственных ресурсов, для того, чтобы предугадать возможные сбои и планирования ресурсов. Все обновления и изменения в софте происходят только перед выходными и после согласования с “бизнесом”, т.е. с руководителями пользователей, которые работают с этим самым софтом, сроков, результатов работ, а так же возможных последствий. И эти изменения/обновления не проводятся по инициативе администратора, когда единственной из видимых причин является “о, новенькое, значит лучше”. Никогда, никогда не пытайся настроить что-то многопользовательское, если ты в этом не разбираешься или неуверенно себя чувствуешь. Иногда очень хочется долго лупить железной линейкой по пальцам неучей, которые наворотили на ровном месте проблему.
Второе, на что необходимо обратить внимание сразу после начала работ - резервные копии. Бекапить необходимо все. Систему, базы, документы пользователей, причем, последние необходимо бекапить в какую-то систему контроля версий, чтобы была возможность поднимать случайно измененные документы на какое-то число. Бекапы ни в коем случае не хранятся на том же сервере и в том же помещении, что и оригиналы. Уже неоднократно приводил примеры со взломанными серверами (о них - ниже) и о плавающих в подвале системных блоках. Приучите, что необходимые для работы документы пользователи хранят на сервере, за сохранность этих документов отвечать тебе, будущий администратор, а вот фотки со свадьбы, музыку и прочий мусор пользователь хранит за пределами организации. Железо и его обслуживание стоит денег, и не вам с пользователем договариваться, будете ли вы хранить mp3 на сервере организации или нет. Если пользователям так чешется - пусть идут к боссу и выбивают у него отдельную железку под файлопомойку и ваше время на ее организацию.

Далее, что необходимо усвоить тебе, а главное - твоему боссу. Ты - не прислуга, а профессионал, которому доверили определенный фронт работ. Если кто-то начинает указывать на то, как надо делать, при том, что совета ты не просил, то можно отправить “советчика” далеко и надолго, либо обменяться с ним частью должностных обязанностей. За доверенный фронт работ отвечаешь ты, а не советчики. И основная ошибка новичков-админов - восприятие босса, как учителя (я имею ввиду руководителя предприятия, а не шефа ИТ). Он не учитель, более того, малоразбирающийся в ИТ человек и обязан доверять твоему мнению, как профессионала. Все просто, либо доверяет, либо делает сам. И, что обязательно, если ты говоришь, что на эти нужды требуется именно такой сервер, то задача босса выдать деньги. Нет денег - нет решения задачи. Все эти виляния на тему совмещения контроллеров домена и нескольких баз на одном полудохлом десктопе не принесут вам положительной репутации, а фирме - бесперебойной работы ИТ-сервисов. Будете бегать, нервничать, слушать маты руководителя и в итоге уволитесь, оставив после себя ощущение, что компьютер и глюки - синонимы. Да, ваша задача - собрать максимально эффективный сервер, в том числе и дешевый. Но это не значит, что надо собирать сервер из старого барахла, которое скоро сдохнет, что повлечет время на переустановку с простоем у пользователей, не значит, что надо совмещать несовместимый софт, который в итоге приведет к коллапсу и, опять же, к простою пользователей, а то и потере информации. Если все доводы выслушаны боссом и не приняты к сведению, босс стучит тапком по столу и требует, чтобы было дешево, потому, что так хочет, то выписываете все минусы его варианта на бумажку, подробно и с фантазией, потом отдаете ему на подпись, что он ознакомился. Можно отослать по почте с просьбой подтвердить прочтение. Если решение принято не тобой, то и отвечать не тебе, в том числе и работой во внеурочное время и повышенной нагрузкой в рабочее. В твои обязанности не входит вручную работать за сервер, если ты предупредил, что он не справится. Соответственно, если ты купил аналог Феррари среди компов, то тебе необходимо будет обосновать, зачем, кроме отката у железячника, ты это задумал.

Немаловажная часть твоей работы - бюджет. Независимо от размеров организации, тебе придется его составлять, даже если его не требует руководство. Всякое железо имеет ресурс и лучше заранее предусмотреть покупку нового сервера, чем ошарашить руководство внезапными затратами, когда все начнет резко сыпаться. Не забывай и про обменный фонд, новая рабочая станция (или несколько), диски и различная периферия у тебя должны быть под рукой. Не перепаянные из трех старых, а новые.

Универсальность. Несмотря на то, что пользователи выполняют разнообразные задачи, необходимо готовить рабочие места таким образом, чтобы железо и софт для них различались просто минимально. Это позволит снять с нескольких типов десктопов образы после установки и в дальнейшем быстро разворачивать необходимый для восстановления или для нового работника. Не стоит разводить зоопарк и среди серверного оборудования и софта. Как бы ты пальцы не загибал, человеческая память имеет предел, особенно в стрессовой ситуации. И профессионалов во всех областях я не знаю. Если человек пытается убедить вас, что он знает MS SQL, MySQL и Oracle в совершенстве, то 99,9%, что он не знает ничего из указанного.

Систематизированность. Не на виду у всех, но всегда под рукой у тебя должна быть схема (в электронном виде), где будут указаны: имя сервера, его IP-адрес, функции и местонахождение. Аналогичным образом ведется журнал, где пронумерованы компьютеры пользователей с указанием, кто сейчас использует эту рабочую станцию. Не забывай вести учет и на складе. Замена монитора и прочих дорогостоящих комплектующих производится по письменной заявке начальника подразделения, не ниже. Вообще все обращения пользователей идут через helpdesk, возможность доступа всех пользователей к helpdesk - твоя ответственность. Статистика заявок - хороший способ отчетности перед начальством, то, что пользователи формализуют требования и не пытаются откровенно бредить - подспорье тебе.

Немного о технических нюансах работы. Если ты работаешь в организации не меньше, чем 5 человек, включая директора, то у нее, конечно, есть локальный доступ в Интернет. Настоятельно рекомендую рассматривать только безлимитные тарифы с достаточной для твоей организации шириной канала. И обязательно - фиксированный внешний IP, чтобы тебе не пришлось плясать с бубном, пытаясь как-то уговорить работающего по удаленке поставить себе кучу софта для доступа, чтобы помочь тебе. Предложения вида “подключитесь на этот сервер, а оттуда дальше по радмину с рабочего стола” - это признание, аналогичное “простите, я даун” и незамедлительно вызывает у слушающего вопрос, что ты, собственно, на этом месте делаешь. Проброс порта со шлюза, которым обычно является рутер, воткнутый в инет, - элементарная операция, доступная даже просто продвинутому пользователю.
Что я считаю обязательным в организации Интернета, это возможность использования NAT’а в необходимых случаях (например, в случае использования оптимизатора или каких-то банк-клиентов), но запрет использования NAT для всех в целом (пользователи ходят только через прокси и только 80 и 443 порт), просто восприми это как данность и характерное отличие админа от криворукого придурка за клавиатурой. Для любителей файлокачания и серфинга в рабочее время статистика использования прокси выкладывается на общедоступный внутренний ресурс. Чтобы пользователи не колбасили просьбами включить им аську, внутри сети поднимается jabber-сервер. Если захочешь - сделаешь транспорт потом в аську и прочие недосервисы для избранных. Снаружи рекомендую не открывать ничего. Более того, для небольшого противодействия сканирующим, рекомендую настроить ловушки на стандартных портах, а сами сервисы перевесить на нестандартные, куда-нибудь побольше номером. Ловушки, это некий сервис, при подключении на который подключающийся полностью блокируется стенкой. И только полный дурак может выставлять в Интернет сервис на штатном порту, старой версии, с паролем меньше 8 символов длиной, включая знаки препинания и цифры.

О почте. Я не сторонник параноидального тезиса, что почта предприятия однозначно находится в его стенах. Это безусловный плюс, в том числе и по траффику. Но сказать, что обязательное условие - нет. Опять же в зависимости от количества сотрудников. Обязательными условиями являются: адресация на твой домен (всякие кривые бесплатные ящики-признак несерьезности организации), полное управление получением и отправкой почты, твой доступ к любому из почтовых ящиков независимо от желания его владельца. Если почта не локальная, то локально обязательно хранится архив.
Очень кратко о телефонии. Если не хотите проблем - отключите международные линки. Был печальный случай взлома циски с последующими переговорами с Таиландом на очень крупную сумму. Если межгород не нужен - тоже отключить. В общем, все по максимуму и, крайне желательно, на уровне провайдера.

О сотрудниках. Для большинства из сотрудников компании ты, скорее всего, останешься непонятным существом, который что-то там делает, чтобы компьютеры работали. Надо отметить, что очень многие люди, сталкиваясь с техникой и софтом, внезапно резко дуреют. Если ты относишься к их числу, то, увы, расписывайся в профнепригодности. Но речь идет о тех, с кем ты работаешь. Общаясь, тем более в конференциях, админы используют жаргон. Безусловно, приучать пользователей и босса к жаргону ты не должен. Кроме раздражения твоим якобы желанием показаться крутым и непонимания, этим ты ничего не добьешься. Объяснять необходимо человеческим языком и убеждаясь, что слушающий тебя понимает, а не впал в транс из-за обилия непонятных терминов. На доводы начальства, что ИТ-подразделение - обслуживающее, необходимо подчеркнуть, что обслуживает оно в первую очередь технику, а не бухгалтерш, которые не знают, как косынку разложить. Руководство может захотеть нахаляву обучение. Не вопрос, выделяешь время в плане своих мероприятий, согласовываешь с руководителем подразделения график. И обязательно - экзамен с ощутимым денежным штрафом для двоечников. В противном случае слушать тебя не будут, поверь моему опыту.

Организация парка. Ради всего святого, не надо делать из 20 компов и 20 сидящих на месте юзеров AD, если железный парк ограничен... Даже если у тебя домен, то домен (в смысле FQDN)- это ни разу не синоним AD. Не включай в домен сервера, если они не требуют авторизации пользователей. Это ни к чему по соображениям безопасности и противоглючности. Пусть у сервера будет фиксированный IP и имя, в домен его вводить не надо. И учеток, совпадающих с доменными, тоже не заводи. А штатные, вроде Administrator, переименуй в какую-то еще, только запиши, во что переименовали... Лучше, если администраторов на сервере будет как минимум двое, с одинаковыми требованиями к паролю. Пока не убедились, что заходите под вторым, не меняйте у первого пароль или еще какие-то настройки, которые могут повлиять на доступ. Еще настоятельно рекомендую, не используй локализованные версии ОС на сервере. Столько багов на этом отловлено, столько абсолютно бредовых сообщений выдавалось в ситуации, когда сейчас и сразу надо решить проблему... Не используй в именах (пользователей, серверов и т.п.) русские буквы, тире, подчеркивания, амперсенд и прочие специфичные для ОС или софта знаки препинания.

На этом пока все... Текст буду править и дополнять. Буду рад предложениям и замечаниям.
 
"Спасибо" OlegON от:
14.03.2012 21:16  
bob
Это ты сам все выстрадал? или шпаргалку где-то взял и поправил? Первый спорный момент - админ - это отнюдь не железячник.
 
14.03.2012 22:05  
baggio
во первых...
спорных моментов куча...
поэтому пеерименуй с книтежительного недо... мои просьбы к админам или около того...
 
14.03.2012 23:13  
OlegON
давайте спорить :) постараюсь вовремя отбиваться. писал все сам, поэтому от души и называл даже в рамках приличия, кои соблюдать очень не хотелось (участники конференции в жабере, наверное, чувствовали мой сдерживаемый мат на конкретных примерах). не очень понял про железячника. я про железо, вроде и не углублялся, поскольку сам железом особенно и не владею. в перечне базовых требований по железу ничего и нет. пока не убедите, менять ничего не буду :)
 
14.03.2012 23:42  
baggio
"Если ты относишься к их числу, то, увы, расписывайся в профнепригодности"
скажу по другому... т.к. мы ВСЕ когда то были и отчасти есть полные придурки и дэбилы...
1. Всегда доводи начатое до конца и понимания почему так и не иначе... не сдавайся...
2. Если ты что то делаешь или хочешь сделать... 1 посоветуйся... даже не знающие люди наталкивают на ИНОЕ решение проблемы... 2. Запиши\забэкапь то что было до того... что если что откатиться... 3. подумай над проблемой... ВСЕГДА есть НЕСКОЛЬКО ПРАВИЛЬНЫХ решений одной и той же проблемы... твоя задача выбрать правильный... 4. Самые правильные решения как правило.. .предельно просты... помни простота залог здоровья...
 
"Спасибо" baggio от:
15.03.2012 08:09  
OlegON
как-то ты в сторону жизненного пошел... что касается "дэбилов", то я не имел ввиду незнание, а именно неспособность логически мыслить перед экраном. парадоксально, но факт, есть люди, у которых в голове что-то перемыкает, когда они садятся перед монитором. дело не в том, что человек чего-то не знает и не понимает, а в том, что он не способен воспринимать софтовую информацию и интерфейс в целом. типа, как "смотрит в книгу - видит фигу". есть такие люди, их много...
 
15.03.2012 08:48  
baggio
Цитата:
Сообщение от OlegON
Есть люди, у которых в голове что-то перемыкает, когда они садятся перед монитором. дело не в том, что человек чего-то не знает и не понимает, а в том, что он не способен воспринимать софтовую информацию и интерфейс в целом. типа, как "смотрит в книгу - видит фигу". есть такие люди, их много...
я даже знаю как их зовут...
бух... :)
 
15.03.2012 16:55  
Tushkanchik
эникейщик-мышевозила это супер )
 
17.03.2012 21:27  
baggio
продолжаем спорить...
Лично я считаю схему RDP а там Radmin`ом очень даже правильной... даже не так...
я еще RDP заворачиваю в PPTP или Kerio VPN...
мало того что правильной так еще и самой "негеморойнной" и защищенной...
лично я категорически против проброса Radmin\VNC\RDP наружу... т.к. это как раз несекурно... и лишь вопрос времени когда ломанут... как относится к тимвьюверу пока не определился но как работает прога последние несколько лет меня ОЧЕНЬ радует...

постараюсь объяснить почему схема правильная с объяснением почему и как...
если несколько альтернативных решений:
схемы:
примечание:
а)мы исходим из того что роутер настраивается ТОЛЬЛькО изнутри если еще и вебку наружу вынести это песец...
б) Я такой же приходящий админ.. и админю сетку удаленно... как и Олег...

1. Пробросить 3389 на нужный комп... - хреново... каждый раз перенастраивать роутер на разные компы... удаленная игра с настройками роутера - к дороге (народная примета)... кроме того не секурно .. .постоянно открытый порт...
2. Для каждого компа свой нестандартный порт... с мапом на 3389... - хреново... если меняется айпи или появляется новый комп хрен подключишься... не сукурно...
3. тим вьювер - вариант рабочий... но пользователь видит мои подключения... не всегда это нужно... поэтому в зависимости от того что нужно использкем...
4. RDP затем с него по радмину... - хороший вариант... один раз настроил на роутере одно правило.. .по пробросу РДП и по необходимости обезъянам рпссказываешь как установить Radmin\VNC и задать пароль... остальное сделаею сам... - не секурно... RDP наружу... но если ты там один юзверь... и пароль достаточно стойкий - от 10-12 символов.. вполне рабочий... главное чтобы пароль от этого компа не подходил к остальным... даже если этот ломанут... как правило прокся... ничего не добъются... шар с прокси я делаю что не видно было... радмин пароль.. это еще около 20 символов и пользователь подбирать можно вечность... ничего ценногоьт на проксе нет... вообщем рабочий вариант...
5. Самый на мой взгляд правильный вариант PPTP\Kerio-RDP-VNC\RADMIN - самый секурный вариант... при условии что пароль на PPTP не admin\111 ... после подключения по PPTP видна сразу все сеть клиента ... и напрямую работают VNC\Radmin... но есть и определенные минусы... при подключении PPTP все паеты с твоей машины заворачиваются на интерфейс PPTP... можно это и отключить ... но если у клиента 2-3 подсети... и если клиентов много и нужно иметь подключения постоянно к нескольким.. . возникают сложности... поэтому Kerio мне нарвится больше... сразу нужно понимать что сетку у клиентов я выставляю чтобы у каждого была своя... они иногда удивляются а что это у нас 192.168.56.Х.. говорю.. от хакеров.. :) но так как я хочу перейти на администрирование с планшета... то не знаю возможно от керио придется отказыватся.. нет клиента под андроид\айфонОС...
вариант централизованного администрирования рассматриваю как либо у всех VPN PPTP + один сервер RDP который подключен ко ВСЕМ клиентам... я если шо.. с телефона\планшета\плафона цепляюсь на него и с него уже рулю.. минус... зависимость от 1 компа... может уйду на WDS от 1гбнапример.. не знаю - думаю...

Вообщем высказывания Олега по поводу РДП а далее радмином это значит ты админомудак... как слова человека который давно ушел от администрирования компов к базам данных.. комендной строке.. и т.д. т.е. немного отрван от реальности... когда ты обслуживаешь контору из 5 компов и они платать 10 в месяц... ты сделаешь все чтобы туда ездить меньше... и делать больше... вот и получается что вариант "облитый" Олегом самый простой секурный и рабочий... не требующий большого гемороя...

Вот... ИМХо..
 
18.03.2012 05:09  
AlexeyF
RDP+радмин
в чём не секурность то ?
у клиента в инет смотрит один интерфейс. Дома, или откуда ещё надо подключаться, статический ИП. С этого разрешённого пробрасываем RDP на внутренний комп (сервер или ещё какой то комп с пост ИП) и с него уже тем же RDP или радмином или DMWARE остальные компамы в своё удовольствие и на благо клиента.

Пробрасывается с одного/двух реальных ИП - вариантов для взлома из интернета нету. В настройке просто, в работе надёжно.
 
 


Опции темы


Часовой пояс GMT +3, время: 11:15.

Все в прочитанное - Календарь - RSS - - Карта - Вверх 👫 Яндекс.Метрика
Форум сделан на основе vBulletin®
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.